อาการ
เมื่อพยายามเชื่อมต่อ Transport Layer Security (TLS) อาจล้มเหลวหรือหมดเวลา คุณอาจได้รับข้อผิดพลาดอย่างน้อยหนึ่งข้อต่อไปนี้:
-
"คำขอถูกยกเลิก: ไม่สามารถสร้างช่องทางที่ปลอดภัยของ SSL/TLS"
-
ข้อผิดพลาด 0x8009030f
-
ข้อผิดพลาดได้รับการบันทึกไว้ในบันทึกเหตุการณ์ของระบบสำหรับเหตุการณ์ SCHANNEL 36887 พร้อมรหัสการแจ้งเตือน 20 และคำอธิบายว่า "ได้รับการแจ้งเตือนที่ร้ายแรงจากปลายทางระยะไกล รหัสการแจ้งเตือนร้ายแรงที่กำหนดสำหรับโปรโตคอล TLS คือ 20"
สาเหตุ
เนื่องจากการบังคับใช้ที่เกี่ยวข้องกับความปลอดภัยสำหรับ CVE-2019-1318 อัปเดตทั้งหมดสำหรับ Windows รุ่นที่รองรับที่เผยแพร่ในวันที่ 8 ตุลาคม 2019 หรือหลังจากนั้น จะบังคับใช้ Extended Master Secret (EMS) สำหรับการเริ่มใหม่ตามที่กำหนดโดย RFC 7627 การเชื่อมต่อกับอุปกรณ์ของบุคคลที่สามและระบบปฏิบัติการที่ไม่สอดคล้องอาจมีปัญหาหรือล้มเหลว
ขั้นตอนถัดไป
การเชื่อมต่อระหว่างอุปกรณ์สองเครื่องที่ใช้ Windows รุ่นที่รองรับไม่ควรมีปัญหานี้เมื่ออัปเดตอย่างสมบูรณ์ ไม่มีการอัปเดตสำหรับ Windows ที่จำเป็นสำหรับปัญหานี้ การเปลี่ยนแปลงเหล่านี้จำเป็นในการแก้ไขปัญหาความปลอดภัยและการปฏิบัติตามด้านความปลอดภัย
ระบบปฏิบัติการ อุปกรณ์ หรือบริการของบุคคลที่สามใดๆ ที่ไม่สนับสนุนการเริ่มระบบ EMS ใหม่อาจมีปัญหาเกี่ยวกับการเชื่อมต่อ TLS คุณควรติดต่อผู้ดูแลระบบ ผู้ผลิต หรือผู้ให้บริการของคุณสำหรับการอัปเดตที่รองรับการเริ่มระบบ EMS ใหม่ตามที่กำหนดโดย RFC 7627
หมายเหตุ Microsoft ไม่แนะนำให้ปิดการใช้งาน EMS หาก EMS ถูกปิดการใช้งานอย่างชัดเจนก่อนหน้านี้ คุณสามารถเปิดใช้งานได้อีกครั้งโดยการตั้งค่ารีจิสทรีคีย์ต่อไปนี้:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
บนเซิร์ฟเวอร์ TLS: DisableServerExtendedMasterSecret: 0 บนไคลเอ็นต์ TLS: DisableClientExtendedMasterSecret: 0
ข้อมูลขั้นสูงสำหรับผู้ดูแลระบบ
1. อุปกรณ์ Windows ที่พยายามใช้การเชื่อมต่อ Transport Layer Security กับอุปกรณ์ที่ไม่รองรับ Extended Master Secret (EMS) เมื่อชุดโปรแกรมการเข้ารหัส TLS_DHE_* ถูกตรวจสอบอาจล้มเหลวเป็นระยะที่ประมาณ 1 จาก of 256 ครั้ง เมื่อต้องการลดปัญหานี้ ใช้หนึ่งในวิธีแก้ไขปัญหาที่แสดงต่อไปนี้เพื่อกำหนดลักษณะ:
-
เปิดใช้งานการสนับสนุนการขยาย Extend Master Secret (EMS) เมื่อทำการเชื่อมต่อ TLS สำหรับทั้งระบบปฏิบัติการบนไคลเอ็นต์และเซิร์ฟเวอร์
-
สำหรับระบบปฏิบัติการที่ไม่รองรับ EMS ให้เอาชุดโปรแกรมการเข้ารหัส TLS_DHE_* ออกจากรายชื่อชุดโปรแกรมการเข้ารหัส ในระบบปฏิบัติการของอุปกรณ์ไคลเอ็นต์ TLS สำหรับคำแนะนำเกี่ยวกับวิธีการทำสิ่งนี้บน Windows ให้ดูที่ การกำหนดลำดับความสำคัญของชุดโปรแกรมการเข้ารหัสช่องสัญญาณที่ปลอดภัย
RFC 2246 (TLS 1.0) หรือ RFC 5246 (TLS 1.2) และจะทำให้การเชื่อมต่อแต่ละครั้งล้มเหลว การเริ่มใหม่ไม่ได้รับการรับรองโดย RFC แต่อาจใช้ได้ตามดุลยพินิจของไคลเอ็นต์และเซิร์ฟเวอร์ TLS หากคุณพบปัญหานี้ คุณจะต้องติดต่อผู้ผลิตหรือผู้ให้บริการเพื่อรับการอัปเดตที่เป็นไปตามมาตรฐาน RFC 3. เซิร์ฟเวอร์หรือไคลเอนต์ FTP ที่ไม่สอดคล้องกับ RFC 2246 (TLS 1.0) และ RFC 5246 (TLS 1.2) อาจไม่สามารถถ่ายโอนไฟล์ในการเริ่มใหม่หรือแฮนด์เชคแบบย่อและจะทำให้การเชื่อมต่อแต่ละครั้งล้มเหลว หากคุณพบปัญหานี้ คุณจะต้องติดต่อผู้ผลิตหรือผู้ให้บริการเพื่อรับการอัปเดตที่เป็นไปตามมาตรฐาน RFC
2. ระบบปฏิบัติการที่ส่งเฉพาะข้อความขอใบรับรองในแฮนด์เชคเต็มรูปแบบหลังจากการเริ่มใหม่ไม่เป็นไปตามมาตรฐานการอัปเดตที่ได้รับผลกระทบ
การอัปเดตแบบสะสมล่าสุด (LCU) หรือชุดรวมอัปเดตรายเดือนและการอัปเดตความปลอดภัยเท่านั้นที่เผยแพร่เมื่อวันที่ 8 ตุลาคม 2019 เป็นต้นไปสำหรับแพลตฟอร์มที่ได้รับผลกระทบอาจประสบปัญหานี้:
-
KB4517389 LCU สำหรับ Windows 10 เวอร์ชัน 1903
-
KB4519338 LCU สำหรับ Windows 10 เวอร์ชัน 1809 และ Windows Server 2019
-
KB4520008 LCU สำหรับ Windows 10 เวอร์ชัน 1803
-
KB4520004 LCU สำหรับ Windows 10 เวอร์ชัน 1709
-
KB4520010 LCU สำหรับ Windows 10 เวอร์ชัน 1703
-
KB4519998 LCU สำหรับ Windows 10 เวอร์ชัน 1607 และ Windows Server 2016
-
KB4520011 LCU สำหรับ Windows 10 เวอร์ชัน 1507
-
KB4520005 ชุดรวมอัปเดตรายเดือนสำหรับ Windows 8.1 หรือ Windows Server 2012 R2
-
KB4520007 ชุดรวมอัปเดตรายเดือน Windows Server 2012
-
KB4519976 ชุดรวมอัปเดตรายเดือนสำหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1
-
KB4520002 ชุดรวมอัปเดตรายเดือน Windows Server 2008 SP2
การอัปเดตเฉพาะความปลอดภัยเท่านั้นที่เผยแพร่เมื่อวันที่ 8 ตุลาคม 2019 สำหรับแพลตฟอร์มที่ได้รับผลกระทบอาจประสบปัญหานี้:
-
KB4519990 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows 8.1 และ Windows Server 2012 R2
-
KB4519985 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows Server 2012 และ Windows Embedded 8 Standard
-
KB4520003 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1
-
KB4520009 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows Server 2008 SP2